in

Les nouvelles cibles du cybercrime | 5 questions à Gabriel Bassett, Senior Information Security Data Scientist chez Verizon

La sortie du Data Breach Investigation Report 2019 par Verizon met en lumière la vulnérabilité des cadres dirigeants face au cybercrime. Gabriel Bassett, Senior Information Security Data Scientist chez Verizon, répond à cinq questions majeures qui se posent quand on parle des nouvelles cibles du cybercrime. 

 

Pourquoi et comment les cadres dirigeants sont-ils devenus la cible d’attaque de cybercrime ? 

 

Ma citation préférée dans le rapport de cette année est « Il faut l’accorder aux attaquants. À un moment donné, ils ont dû se dire : « Pourquoi on n’éviterait pas les piratages compliqués et on ne demanderait pas directement l’argent ? »(2019 Verizon DBIR, version anglaise, pg 53, col1, en bas) La plupart des attaquants sont là pour l’argent et ils veulent cet argent le plus rapidement et facilement possible.  Aux États-Unis, il existe une « Règle de Sutton » qui porte le nom d’un braqueur de banque notoire à qui on aurait demandé « Pourquoi braquez-vous les banques ? » et qui aurait répondu « Parce que c’est là que se trouve l’argent« . (Plus tard, il nia l’avoir dit.)

 

Dans les entreprises, les cadres-dirigeants ont la possibilité de transférer de l’argent sans les freins et contrepoids qui pourraient exister pour les employés de niveau inférieur. Les attaquants peuvent utiliser l’ingénierie sociale à motivation financière (FMSE) pour réaliser ces attaques. Ces attaques se produisent lorsqu’un agresseur envoie un courriel à une victime lui demandant de transférer de l’argent.

 

Il peut provenir du compte piraté d’un autre dirigeant et demander un virement sur un compte bancaire pour faire face à une urgence. Il peut même ressembler à une facture que l’entreprise paie souvent, mais dont les coordonnées bancaires ont changé. Il s’agit parfois de Business Email Compromises (BEC), mais ils n’exigent même pas nécessairement une compromission de sécurité.  L’attaquant peut créer un compte de courriel sur un service de courriel gratuit qui se fait passer pour un employé, par exemple le chef de la direction, et envoyer un courriel à quelqu’un comme le chef des finances pour demander le transfert des fonds. Dans ce cas, aucune compromission n’est nécessaire.

 

 

Quels sont les secteurs les plus touchés ?

 

Nos données ne nous indiquent pas quels sont les secteurs plus ou moins touchés mais plutôt quels types d’attaques touchent une industrie plus qu’une autre.  Par exemple, le secteur du retail est principalement touché par les violations de cartes de paiement, alors que dans l’industrie, les données internes et les secrets d’entreprise sont les plus susceptibles d’être divulgués.

 

 

De quelle nature sont les attaques et en quoi consistent-elles ? Qu’est-ce qu’une attaque social engineering ? 

 

Il y a trois types d’attaques dont la plupart des organisations doivent être informées.

 

  1. Les attaquants fouillent internet à la recherche d’anciennes vulnérabilités (vieilles de plusieurs années, voire de plusieurs décennies).  Nous en parlons à l’annexe C, Watching the Watchers.  Ces vulnérabilités sont généralement fiables et faciles à exploiter.  Il y a de nombreuses raisons pour lesquelles une organisation peut ne pas corriger une vulnérabilité récente, mais il est important de corriger d’anciennes vulnérabilités bien connues sur les ordinateurs connectés à internet.

 

  1. Les attaquants utilisent continuellement des informations d’identification pour attaquer des organisations.  C’est extrêmement facile et efficace.  |Les attaquants utilisent souvent une attaque appelée « Credential Stuffing ».  Le credential stuffing signifie que l’attaquant recueille ou achète des ensembles de justificatifs d’identité provenant de violations précédentes et utilise ensuite un outil ou un botnet pour essayer les justificatifs d’identité avec le plus grand nombre possible de logins sur internet.  Ils testent les identifiants sur les sites de vente au détail en ligne, les institutions financières, les services cloud (comme le web mail), l’infrastructure cloud et les entreprises individuelles.  Ce type d’attaque est un favori des attaquants car il peut être facilement automatisé, nécessitant très peu d’effort pour attaquer les deuxième et troisième cibles après avoir attaqué la première.

 

  1. Les attaques social engineering sont le troisième type courant d’attaques. Le social engineering utilise la tromperie, la manipulation, l’intimidation, etc. pour exploiter l’élément humain, ou les utilisateurs, des actifs informationnels. Il y a deux types communs de social engineering dans le DBIR cette année. Les premières sont les attaques FMSE décrites plus haut.

 

Le deuxième type d’attaque est l’hameçonnage, où un attaquant envoie un courriel pour tromper une victime et l’amener à visiter un site Web que l’attaquant contrôle ou à exécuter une pièce jointe malveillante.

Cette année, nous avons été témoins de nombreux cas d’attaques de hameçonnage qui ont imité des services en ligne comme le courrier Web d’entreprise.  L’email semble provenir de l’entreprise qui fournit l’email de la victime.  La victime suit le lien et entre ses identifiants sur le site de l’attaquant, pensant qu’il s’agit de son site de messagerie normal.

Les attaques FMSE et les attaques de phishing suivent le même schéma qu’auparavant.  Ils sont tous les deux faciles pour l’attaquant.  L’hameçonnage, comme les attaques par carte d’identité, sont facilement automatisables, ce qui les rend très faciles à réaliser pour l’attaquant.

Bien qu’il ne s’agisse pas d’une  » attaque  » en soi, 21 % des failles dans le DBIR cette année ont été causés par des erreurs.  Et ce nombre est même probablement en deçà de la réalité.  Dans le DBIR, une erreur est tout ce qui est fait (ou laissé non fait) de manière incorrecte ou par inadvertance.

 

Les industries ayant des exigences de déclaration obligatoires aux États-Unis, comme les soins de santé et l’administration publique, ont des taux d’erreur beaucoup plus élevés.  Cela m’amène à croire que de nombreuses industries ne signalent tout simplement pas publiquement les manquements causés par des erreurs.  Les entreprises doivent prendre en compte les brèches causées par les erreurs ainsi que celles causées par le social engineering, les attaques d’authentification et les vulnérabilités non corrigées des interfaces Internet.

 

 

Pouvez-vous définir ce qu’est une attaque ransomware ? Elles représenteraient 24% des incidents liés aux logiciels malveillants.

 

Une attaque ransomware fournit un moyen très rapide et facile pour les attaquants de gagner de l’argent grâce à l’hameçonnage ou à des attaques de justificatifs.  Le ransomware est un logiciel malveillant qui crypte tous les fichiers d’une victime. La victime doit alors payer l’agresseur pour que la clé décrypte ses fichiers. Il permet aux attaquants de revendre l’accès aux fichiers à l’organisation qui valorise le plus les fichiers, la victime.  Et il permet à l’attaquant de le faire sans jamais avoir à prendre les fichiers. C’est facile à faire (les victimes n’ont qu’à exécuter un seul logiciel malveillant) et c’est facile à monétiser.  Les attaquants peuvent utiliser des cryptomonnaies qui leur permettent de blanchir l’argent et de le convertir en quelque chose qu’ils peuvent dépenser facilement.

 

 

Quels sont les conseils que vous donnez aux entreprises pour se protéger de ces attaques ?

 

Les conseils que je donnerais dépendent du type d’entreprise.

 

  • Il se peut que les petites entreprises n’aient pas le budget nécessaire pour se doter d’outils ou de services de sécurité. Pour une entreprise qui n’a pas les moyens d’investir directement dans la sécurité, elle devrait essayer d’acheter des services où la sécurité est intégrée. Par exemple, les caisses enregistreuses peuvent être louées auprès d’une entreprise qui patche et surveille la sécurité de ses systèmes pour tous ses clients.

 

  • Pour les entreprises de taille moyenne qui peuvent investir dans la sécurité, elles devraient essayer de faire l’essentiel et ne pas s’inquiéter d’être parfaites.  (Aucune personne, aucun service, aucun outil ou processus n’est parfait de toute façon.) Faire les choses de base signifie plusieurs choses :

 

Tout d’abord, corrigez les vulnérabilités lorsque cela est possible.  Les entreprises n’ont pas à corriger toutes les vulnérabilités, mais il est important de corriger les vulnérabilités importantes qui existent depuis un certain temps. Une grande partie de cela est de savoir quels ordinateurs vous avez.  Un bon programme de gestion des biens est essentiel au patch.

 

Pour arrêter les attaques d’authentification, implémentez l’authentification à deux facteurs.  Ce n’est pas toujours facile et cela ne peut pas arrêter toutes les attaques, mais la plupart des attaquants ne seront pas prêts à faire le travail supplémentaire pour le contourner. Aider également les employés à utiliser les gestionnaires de mots de passe.  Les gestionnaires de mots de passe peuvent aider à réduire la réutilisation des mots de passe et à empêcher les utilisateurs de mettre leur mot de passe dans un faux site Web.

 

Pour les attaques FMSE, avoir un processus qui confirme tout transfert d’argent, quel qu’en soit le but.  Assurez-vous que le processus utilise autre chose que le courriel.  Sensibiliser également les cadres supérieurs aux menaces auxquelles ils sont confrontés.

 

Pour les attaques de hameçonnage, filtrez les liens, les livrables et les documents bureautiques macroaccessibles à partir des e-mails. Donnez aux gens un moyen de signaler les courriels d’hameçonnage et d’agir en conséquence. Dans la première heure, les gens signalent les tentatives d’hameçonnage presque aussi souvent qu’ils cliquent dessus. Cependant, après la première heure, les gens le signalement, mais continuent de cliquer en arrivant au travail le lendemain et la semaine qui suit.

De plus, pour les personnes de l’entreprise qui reçoivent souvent des fichiers non sollicités à partir d’adresses électroniques externes dans le cadre de leur travail (juridique, relations publiques, etc.), pensez à leur donner une tablette avec un système d’exploitation sandbox à partir duquel travailler plutôt qu’un ordinateur de bureau ou portable. Cela aidera à empêcher les pièces jointes de lancer des logiciels malveillants.

 

Enfin, essayez de créer une dégradation progressive pour aider à éviter que les erreurs ne deviennent des brèches.  Recherchez dans l’entreprise des données qui constitueraient une brèche si elles étaient divulguées publiquement.  Identifiez les processus qui touchent ces données et ce qui se passerait si une erreur se produisait.  Si une erreur peut mener à une brèche, essayez d’améliorer le processus pour qu’il soit plus résilient.

 

Ce n’est pas grave si ce n’est pas fait à la perfection.  Le but n’est pas d’être parfait, mais juste d’être un peu meilleur.  Quand un attaquant est à la recherche de la façon la plus facile possible de faire de l’argent, il ne sera pas prêt à faire même un petit effort supplémentaire pour vaincre votre sécurité.

 

Cela n’arrêtera pas les attaquants avancés cependant.  Lorsque le plan A échoue pour un attaquant avancé, il peut simplement essayer le plan B. Ces menaces sont beaucoup plus difficiles à arrêter et exigent beaucoup plus d’investissement.  Les entreprises de taille moyenne peuvent vouloir faire face à ces menaces, mais elles doivent comprendre le montant de l’investissement nécessaire.  Et c’est tout ou rien.  Si vous investissez partiellement pour arrêter un attaquant avancé, l’attaquant avancé entrera quand même.

 

  • Pour les grandes entreprises, elles doivent faire tout ce qu’une entreprise de taille moyenne fait et être capables de le faire à grande échelle.  Les grandes entreprises sont également plus susceptibles d’être disposées à essayer d’arrêter les menaces avancées.  Cependant, si une grande entreprise envisage de tenter de mettre fin aux menaces avancées, elle doit être prête et capable d’investir beaucoup plus qu’elle ne l’a fait pour stopper les menaces de base.  Je n’ai pas trouvé d’analyse de survie pour la Ligue 1, mais en Premier League anglaise, j’ai lu une analyse selon laquelle seulement un tiers des équipes se sont maintenues pendant cinq ans après leur promotion.

La sécurité de l’information est similaire. Passer de l’arrêt des menaces de base à la promotion en passant par l’arrêt des menaces avancées nécessite beaucoup d’investissements supplémentaires et les entreprises peuvent ne pas avoir l’impression de gagner la bataille contre les attaquants au départ pendant qu’elles font ces investissements.

 

 

Gabriel Bassett, Senior Information Security Data Scientist chez Verizon

Valentine
Valentine

Arrivée sur terre il y a quelques lustres, Valentine entre aujourd’hui dans le métier de la communication. C’est non sans intrépidité qu’elle a intégré la Sorbonne en philosophie après une classe préparatoire littéraire (A/L). Après un mémoire sur la place de l’éthique dans la société actuelle à partir d’Aristote, Valentine poursuit son cursus en éthique appliquée. Autrement dit elle s’intéresse aux actions des entreprises et des institutions publiques, proposant alors des solutions de conseil afin d’accompagner leurs prises de décision. Au coeur de l’économie numérique, les rouages de la communication autour de l’innovation la passionnent. C’est pour cela que Valentine a rejoint l’équipe de Tikibuzz, une agence de communication et de marketing, en 2018. Aujourd’hui, elle a le plaisir de s’aventurer sur le terrain de l’éditique et de la gestion de la communication client, afin de vous proposer chers lecteurs, des reportages et des témoignages pour votre média DOCaufutur.

Written by Valentine

Arrivée sur terre il y a quelques lustres, Valentine entre aujourd’hui dans le métier de la communication.
C’est non sans intrépidité qu’elle a intégré la Sorbonne en philosophie après une classe préparatoire littéraire (A/L). Après un mémoire sur la place de l’éthique dans la société actuelle à partir d’Aristote, Valentine poursuit son cursus en éthique appliquée.
Autrement dit elle s’intéresse aux actions des entreprises et des institutions publiques, proposant alors des solutions de conseil afin d’accompagner leurs prises de décision. Au coeur de l’économie numérique, les rouages de la communication autour de l’innovation la passionnent.
C’est pour cela que Valentine a rejoint l’équipe de Tikibuzz, une agence de communication et de marketing, en 2018.
Aujourd’hui, elle a le plaisir de s’aventurer sur le terrain de l’éditique et de la gestion de la communication client, afin de vous proposer chers lecteurs, des reportages et des témoignages pour votre média DOCaufutur.